从今天早上开始,我开始注意到我的 Linux/mageia 6 运行缓慢。
我以 root 用户身份使用top命令进行检查,发现一个名为xm64以invitado用户(西班牙语中的来宾用户)身份运行的进程占用了我 755% 的 CPU。
我杀了好几次这个过程,它突然又开始了。可疑的是没有人以访客用户(invitado)身份登录,计算机的唯一真实用户是我。
由于invitado是专为我的客人在我家时提供的帐户,因此我决定在再次杀死之前删除该用户xm64该过程。
删除该用户后,xm64进程再也没有出现过。
我使用grep -ri xm64 /var/log在/var/log 上搜索了 xm64 信息,但什么也没找到。
现在我正在安装clamav和maldetect以便搜索信息。
我在谷歌上搜索,我没有找到与xm64 linux相关的任何内容,但是当我只寻找xm64时,我在Windows XM64.EXE上找到了有关特洛伊木马病毒的信息。
这是我开始使用 Linux 以来 25 年来第一次怀疑我的 Linux 机器被感染了。
我责怪自己,因为我使用字典密码创建了该来宾用户......我保证再也不会这样做了。
谁能确认我这是 Linux 上的恶意软件还是另一个问题?
今天,冷静下来,我找到了以下信息:
[root@tarfful etc]# cd /var/
[root@tarfful var]# grep -ri xm64 *
Coincidencia en el fichero binario lib/mlocate/mlocate.db
Coincidencia en el fichero binario local/mga_rpms/core/glibc-devel-2.22-29.mga6.x86_64.rpm
Coincidencia en el fichero binario log/journal/235b4f4f2b94420e852900b7e0210a05/system.journal
log/security/unowned_user.weekly.today:/tmp/.zx/xm64
log/security/unowned_group.weekly.diff:+/tmp/.zx/xm64
log/security/unowned_user.weekly.diff:+/tmp/.zx/xm64
log/security/mail.weekly.today:/tmp/.zx/xm64
log/security/mail.weekly.today:/tmp/.zx/xm64
log/security/unowned_group.weekly.today:/tmp/.zx/xm64
log/security.log:jun 02 04:22:01 tarfful diff: - Added Unknown owner for files : /tmp/.zx/xm64
log/security.log:jun 02 04:22:01 tarfful diff: - Added Unknown group for files : /tmp/.zx/xm64
Coincidencia en el fichero binario log/squid/access.log.1
mail/postfix:/tmp/.zx/xm64
mail/postfix:/tmp/.zx/xm64
mail/postfix:- Added Unknown owner for files : /tmp/.zx/xm64
mail/postfix:- Added Unknown group for files : /tmp/.zx/xm64
spool/mail/postfix:/tmp/.zx/xm64
spool/mail/postfix:/tmp/.zx/xm64
spool/mail/postfix:- Added Unknown owner for files : /tmp/.zx/xm64
spool/mail/postfix:- Added Unknown group for files : /tmp/.zx/xm64
[root@tarfful var]#
现在我有一份/tmp/.zx/xm64 的副本
我已将该信息上传到 https://www.clamav.net/reports/malware/
我还喜欢/tmp/.zx 其他脚本和二进制文件:
[root@tarfful spool]# tree /tmp/.zx/
/tmp/.zx/
├── a
├── cron.d
├── h32
├── h64
├── run
├── update
├── x
├── xm32
└── xm64
当我修改 crontab 线轴时,我发现:
[root@tarfful cron]# cd /var/spool/cron/
[root@tarfful cron]# ls
invitado
[root@tarfful cron]# cat invitado
* * * * * /tmp/.zx/update >/dev/null 2>&1
因此,该木马每分钟都会运行更新脚本,其中显示:
[root@tarfful spool]# cat /tmp/.zx/update
#!/bin/bash
DIR=$( cd ${0%/*} && pwd )
ps aux | grep ALIENS_z | grep -v grep
if [ $? = 0 ]
then
echo
else
cd $DIR
./run &>/dev/null &
#./run &
fi
exit 0
为了删除木马,我以root用户身份执行以下步骤:
ps -xau | grep xm64
kill -9 [PID OF xm64]
rm /var/spool/cron/invitado
rm -rf /tmp/.zx
我有相同的木马,它位于系统上的两个位置。
/tmp
/var/tmp
除了xm64,程序"goauto"在顶部运行,用于自动启动"dtsm"程序,这似乎是一个采矿工具,但我不确定。
它已将 cronjob-lines 放在/var/spool/cron 文件夹内的多个crontab 文件中,因此请务必检查它们。
我做了以下工作:
- 删除了 crontab 行
- 杀死了"xm64","goauto"和所有正在运行的"dtsm"进程
- 删除了/tmp 和/var/tmp 文件夹中的文件(使用"locate goauto"或"locate xm64"搜索所有位置)
- 将"139.59.28.207"IP 添加到 IPTABLES,以便它被阻止(某些脚本是从该 IP 获取的)。
似乎它已经停止了这个问题。
我现在正在运行蛤蜊扫描来完成其余的清理(如果有),并且必须首先弄清楚它是如何在服务器上结束的。